9   Fysieke beveiliging en beveiliging van de omgeving

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Fysieke beveiliging van omgeving, gebouwen, ruimten en apparatuur van een zorginstelling is noodzakelijk ter voorkoming van verstoring van de informatievoorziening, diefstal van gegevens en bezittingen, beschadiging aan gebouwen en bezittingen en onveilige situaties voor patiënten, bezoekers en eigen en externe medewerkers. Dit vergt bijzondere aandacht, want zorginstellingen zijn in veel gevallen vrij toegankelijk.

9.1   Beveiligde ruimten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie.

9.1.1   Fysieke beveiliging van de omgeving

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een bemande receptie) te worden aangebracht om ruimten te beschermen waar zich informatie en IT-voorzieningen bevinden. Dit geldt in het bijzonder voor ruimten waar patiëntgegevens worden bewaard en waar informatiesystemen met patiëntgegevens zijn opgesteld.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg en implementeer voor fysiek beveiligde zones desgewenst de volgende richtlijnen en maatregelen:
  • a) Definiëren van de grenzen van de beveiligde zone en situering en sterkte van elk van de zones afhankelijk van de beveiligingseisen die worden gesteld aan de bedrijfsmiddelen in de zone en de resultaten van de risicobeoordeling;
  • b) fysieke eigenschappen van de omtrek van een gebouw of locatie waarin zich IT-voorzieningen bevinden, (d.w.z. geen openingen of gedeelten waar gemakkelijk kan worden ingebroken); solide buitenmuren van de locatie; bescherming van buitendeuren tegen toegang door onbevoegden, bijvoorbeeld met elektronische vergrendeling, tralies, alarmsystemen, sloten enz.; afsluiten van deuren en ramen als er niemand aanwezig is; externe bescherming voor ramen, vooral op de begane grond;
  • c) voorzieningen om de fysieke toegang tot de locatie of het gebouw te beheersen; beperking van toegang tot locaties en gebouwen alleen voor bevoegd personeel;
  • d) fysieke barrières om ongeautoriseerde toegang en verontreiniging van het milieu te voorkomen;
  • e) alarmering op alle branddeuren in een beveiligde zone, controleren en testen in combinatie met de muren, volgens overeenkomstig nationale, regionale of internationale normen voor het vereiste brandwerendheidniveau; faalveilig functioneren volgens de plaatselijke brandvoorschriften;
  • f) installatie van geschikte anti-inbraaksystemen conform nationale, regionale of internationale normen; regelmatig testen van deze systemen met dekking van alle buitendeuren en toegankelijke ramen; voorzien van onbemande ruimten van een alarmsysteem; inclusief andere ruimten, bijvoorbeeld computerruimten of communicatieruimten;
  • g) fysieke scheiding van IT-voorzieningen die door de organisatie zelf worden beheerd, van systemen die door derden worden beheerd.
In een zorginstelling is het niet altijd mogelijk alle apparatuur te plaatsen in ruimten waar patiënten niet komen. Een veilige ruimte houdt in een dergelijke situatie in, dat zowel de veiligheid van de patiënt wordt gewaarborgd als de veiligheid van de informatiesystemen en gegevens.
Stem de fysieke maatregelen voor de informatiebeveiliging af met de maatregelen voor patiëntveiligheid op het niveau van de zorginstelling.
Overige informatie
Fysieke bescherming kan worden bereikt door het opwerpen van een of meer fysieke barrières rond het bedrijfsterrein en de IT-voorzieningen. Toepassing van meer dan één barrière biedt extra bescherming, omdat het falen van één enkele barrière niet betekent dat de beveiliging onmiddellijk geheel is doorbroken.
Een beveiligde ruimte kan bestaan uit een afsluitbaar kantoor of meer ruimten omgeven door een interne, ononderbroken fysieke beveiligingsbarrière. Er kunnen extra barrières en zones voor het beheersen van fysieke toegang nodig zijn tussen ruimten met verschillende beveiligingseisen binnen de beveiligde zone.
Besteed bij gebouwen waarin verschillende organisaties zijn gehuisvest extra aandacht aan de fysieke toegangsbeveiliging.

9.1.2   Fysieke toegangsbeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg de volgende richtlijnen:
  • a) registratie van datum en tijdstip van aankomst en vertrek van bezoekers; begeleiden van bezoekers van beveiligde gebieden of het verlenen van toestemming om het gebied te betreden. Verleen aan hen alleen toegang voor bepaalde, geautoriseerde doeleinden en instrueer hen over de beveiligingseisen van het gebied en over noodprocedures;
  • b) beheersing van toegang tot ruimten waar gevoelige informatie wordt verwerkt of opgeslagen en beperking van toegang tot bevoegd personeel; toepassen van authenticatievoorzieningen, zoals toegangspasjes met pincode, om alle toegang te autoriseren en te valideren. Bijhouden van een ‘audit trail’ (naspeurbare registratie) van alle vormen van toegang;
  • c) zichtbare vorm van identificatie te dragen door alle werknemers, ingehuurd personeel en externe gebruikers en door alle bezoekers;
  • d) plicht voor medewerkers om het beveiligingspersoneel te waarschuwen wanneer zij onbekende personen zonder begeleiding en personen die geen zichtbare identificatie dragen tegenkomen;
  • e) verleen beperkte toegang tot beveiligde ruimten of gevoelige IT-voorzieningen aan personeel van externe ondersteunende diensten en alleen wanneer dit noodzakelijk is; autoriseer en controleer deze toegang;
  • f) regelmatige beoordeling, bijwerking en zo nodig intrekking van toegangsrechten tot beveiligde gebieden (zie 8.3.3).
Overige informatie
Bij het definiëren van beveiligde zones kan worden gedacht aan de plekken waar het grootste risico op ernstige beveiligingsincidenten bestaat, zoals serverruimten en netwerkkasten.

9.1.3   Beveiliging van kantoren, ruimten en faciliteiten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoort fysieke beveiliging van kantoren, ruimten en faciliteiten te worden ontworpen en toegepast.
Aandachtspunten en aanbevelingen voor implementatie
Om kantoren, ruimten en voorzieningen te beveiligen kunnen de volgende richtlijnen worden gevolgd:
  • a) houd rekening met de van toepassing zijnde arbo-eisen, -voorschriften en -normen;
  • b) plaats de belangrijkste voorzieningen in gebieden die niet toegankelijk zijn voor het publiek;
  • c) maak gebouwen, waar van toepassing, onopvallend en geef zo min mogelijk aanwijzingen over het gebruiksdoel ervan; breng geen duidelijke tekens binnen of buiten het gebouw aan die op de aanwezigheid van informatieverwerkingsactiviteiten duiden;
  • d) maak adresboeken en interne telefoongidsen van de organisatie waarin locaties worden aangeduid met gevoelige IT-voorzieningen, niet vrij toegankelijk voor het publiek.
Tref in een gebouw van een zorginstelling voor de relevante ruimten passende maatregelen om ervoor te zorgen dat patiënten en bezoekers niet dichter bij IT-apparatuur kunnen komen dan noodzakelijk is in verband met fysieke beperkingen en eisen van de zorg.

9.1.4   Bescherming tegen bedreigingen van buitenaf

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoort fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten te worden ontworpen en toegepast.
Aandachtspunten en aanbevelingen voor implementatie
Houd rekening met alle gevaren voor de beveiliging vanuit aangrenzende terreinen, bijvoorbeeld brand in een aangrenzend gebouw, waterlekkage vanaf het dak of in kelderverdiepingen onder straatniveau of een explosie in de straat.
Overweeg de volgende richtlijnen om schade door brand, wateroverlast, aardbeving, explosie, oproer of andere vormen van natuurlijke of door mensen veroorzaakte calamiteiten te vermijden:
  • a) sla gevaarlijke of brandbare materialen op veilige afstand van een beveiligde ruimte op. Sla geen bulkgoederen zoals papier op in een beveiligde ruimte;
  • b) bewaar reserveapparatuur en back-ups op veilige afstand, om te voorkomen dat ze beschadigd raken door een calamiteit op de hoofdlocatie;
  • c) tref maatregelen ter beperking van het risico van brand door het plaatsen en aansluiten van brandblusapparatuur, detectiemiddelen, enz.

9.1.5   Werken in beveiligde ruimten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren een fysieke bescherming en richtlijnen voor werken in beveiligde ruimten te worden ontworpen en toegepast.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg de volgende richtlijnen:
  • a) maak personeel alleen bekend met het bestaan van of de activiteiten in een beveiligde ruimte voor zover zij die kennis nodig hebben;
  • b) vermijd werken zonder toezicht in beveiligde ruimten, zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten;
  • c) sluit leegstaande beveiligde ruimten fysiek af en controleer dit periodiek;
  • d) laat geen foto-, video-, audio- of andere opnameapparatuur, zoals camera’s in mobiele telefoons toe, tenzij dat is geautoriseerd.
De voorschriften voor het werken in beveiligde ruimten omvatten de beheersmaatregelen voor werknemers, ingehuurd personeel en externe gebruikers die in de beveiligde ruimte werken, evenals andere door derden uitgevoerde activiteiten die daar plaatsvinden.

9.1.6   Openbare toegang en gebieden voor laden en lossen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk worden afgeschermd van IT-voorzieningen, om onbevoegde toegang te voorkomen.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg de volgende richtlijnen:
  • a) beperk de toegang tot een laad- en losruimte van buitenaf tot bevoegd personeel met een geldige identificatie;
  • b) ontwerp de laad- en losruimte zo dat voorraden kunnen worden afgeleverd zonder dat de leverancier andere delen van het gebouw hoeft te betreden;
  • c) sluit de buitendeuren van een laad- en losruimte af wanneer de binnendeuren worden geopend;
  • d) controleer aangeleverde materialen op mogelijke gevaren (zie 9.2.1d) voordat ze worden overgebracht van de laad- en losruimte naar de locatie waar ze nodig zijn;
  • e) registreer aangeleverde materialen bij aankomst op de locatie volgens de procedures voor bedrijfsmiddelenbeheer (zie ook 7.1.1);
  • f) Indien mogelijk, scheid inkomende en uitgaande leveringen fysiek.
Overige informatie
Denk ook aan nog af te halen vertrouwelijke post. Besteed extra aandacht aan deze beheersmaatregel bij verbouwingen, waardoor tijdelijke, niet afdoende bewaakte toegangen tot de instelling kunnen ontstaan.
In de gezondheidszorg bestaan verschillende situaties waar patiënten en anderen toegang hebben tot ruimten waar privacygevoelige informatie omgaat. Informatie die andere patiënten betreft, kan daar te zien of te horen zijn. De ruimten waar aan patiënten informatie wordt gevraagd en waar patiëntgegevens op een beeldscherm te zien zijn verdienen daarom extra aandacht.

9.2   Beveiliging van apparatuur

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: het voorkomen van verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten.

9.2.1   Plaatsing en bescherming van apparatuur

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Apparatuur behoort zo te worden geplaatst en beschermd dat risico's van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang worden verminderd tot een vooraf door de organisatie bepaald niveau.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg de volgende beheersmaatregelen om apparatuur te beschermen:
  • a) plaats apparatuur zo dat onnodige toegang tot de werkvloer wordt geminimaliseerd;
  • b) plaats IT-voorzieningen met gevoelige gegevens met een beperkte inkijkhoek zo dat de kans vermindert dat informatie door onbevoegden tijdens gebruik wordt gezien; beveilig de opslagvoorzieningen tegen onbevoegde toegang;
  • c) isoleer apparatuur die bijzondere bescherming nodig heeft, zodat het vereiste algemene beschermingsniveau kan worden verlaagd;
  • d) tref beheersmaatregelen om het risico van mogelijke gevaren te minimaliseren, bijvoorbeeld diefstal, brand, explosie, rook, wateroverlast (of onderbreking van de watertoevoer), stof, trillingen, chemische reacties, verstoring van de elektriciteitsvoorziening en van de communicatie, elektromagnetische straling en vandalisme;
  • e) stel richtlijnen vast ten aanzien van eten, drinken en roken in de nabijheid van IT-voorzieningen;
  • f) controleer omgevingsomstandigheden zoals temperatuur en luchtvochtigheid op omstandigheden die de werking van IT-voorzieningen negatief beïnvloeden;
  • g) voorzie alle gebouwen van bliksembescherming en breng bliksembeschermingsfilters aan op alle binnenkomende spannings- en communicatieleidingen;
  • h) overweeg in een industriële omgeving het gebruik van bijzondere beschermende middelen voor apparatuur, zoals toetsenbordhoezen;
  • i) bescherm apparatuur waarmee gevoelige informatie wordt verwerkt om het risico van lekken van informatie door uitstraling te minimaliseren.
Medische apparaten die gegevens registreren en/of doorgeven kunnen speciale veiligheidseisen stellen aan de operationele omgeving en aan mogelijke elektromagnetische straling in de omgeving. Zie erop toe dat de richtlijnen voor plaatsing en beveiliging van IT-voorzieningen blootstelling aan dergelijke straling minimaliseren.

9.2.2   Nutsvoorzieningen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren maatregelen te worden getroffen om de gevolgen van stroomuitval en onderbrekingen van andere nutsvoorzieningen te beperken.
Aandachtspunten en aanbevelingen voor implementatie
Zorg ervoor dat:
  • alle nutsvoorzieningen zoals elektriciteits- en watervoorziening, riolering, verwarming/ventilatie en airconditioning is berekend op de systemen die ze ondersteunen;
  • nutsvoorzieningen regelmatig worden geïnspecteerd en waar nodig getest om hun goede werking te waarborgen en om enig risico op defect of uitval te verminderen;
  • een geschikte elektrische voeding aanwezig is die voldoet aan de specificaties van de leverancier van de apparatuur;
  • het opnieuw opstarten van de apparatuur na het herstellen van uitgevallen nutsvoorzieningen gecontroleerd plaatsvindt.
Voor apparatuur die kritische bedrijfsactiviteiten ondersteunt wordt een onderbrekingsvrije stroomvoorziening (Uninterruptable Power Supply, UPS) aanbevolen, om een goede afsluitprocedure te ondersteunen of de apparatuur ononderbroken te laten werken. Stel een noodprocedure op voor uitval van de UPS. Overweeg een noodgenerator als de gegevensverwerking ook tijdens een langdurige stroomuitval moet doorgaan. Zorg voor een toereikende brandstoftoevoer om te waarborgen dat de generator voor een lange tijd kan blijven werken. Controleer UPS-apparatuur en generatoren regelmatig om te waarborgen dat ze voldoende capaciteit hebben en zorg ervoor dat deze volgens de voorschriften van de fabrikant worden getest. Overweeg daarnaast om van meer energiebronnen gebruik te maken, of indien de locatie groot is, van een afzonderlijke hulpcentrale.
Breng noodschakelaars aan in de buurt van nooduitgangen van computerruimten, om in noodsituaties snel de stroom te kunnen uitschakelen. Breng noodverlichting aan voor het geval zich een totale stroomstoring voordoet.
Zorg ervoor dat de watervoorziening stabiel is en voldoende voor de airconditioning, bevochtigingsapparatuur en brandbestrijdingssystemen (waar gebruikt). Storingen in het watervoorzieningssysteem kunnen schade aan apparatuur tot gevolg hebben of verhinderen dat brandbestrijdingssystemen naar behoren functioneren. Ga na of er een alarmsysteem moet worden geïnstalleerd om storingen in de nutsvoorzieningen te ontdekken.
Sluit telecommunicatieapparatuur op ten minste twee verschillende manieren aan op de systemen van de telecomleverancier om te voorkomen dat een storing in een verbindingsroute de spraakdienst verwijdert. Zorg ervoor dat de spraakdiensten voldoen aan de plaatselijke voorschriften voor noodcommunicatie.
Overige informatie
Een van de mogelijkheden om een continue stroomvoorziening te garanderen is gebruikmaken van meer aanvoerkabels om te vermijden dat een storing de gehele stroomvoorziening onderbreekt.

9.2.3   Beveiliging van kabels

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg de volgende richtlijnen voor de beveiliging van bekabeling:
  • a) leg elektriciteits- en telecommunicatiekabels voor IT-voorzieningen bij voorkeur ondergronds aan of bescherm deze afdoende op andere wijze;
  • b) bescherm netwerkkabels tegen ongeautoriseerd aftappen of beschadiging, bijvoorbeeld door ze in mantelbuizen of kabelgoten te leggen en zo min mogelijk door openbare ruimten te laten lopen;
  • c) houd netsnoeren gescheiden van communicatiekabels, of pas andere technieken toe om interferentie te voorkomen;
  • d) gebruik duidelijk identificeerbare markeringen op kabels en apparatuur om fouten bij bewerking te voorkomen, zoals het per ongeluk ‘patchen’ van de verkeerde netwerkkabels;
  • e) gebruik een gedocumenteerde patchlijst om de kans op fouten te verminderen;
  • f) voor gevoelige of kritieke systemen kunnen verder de volgende beheersmaatregelen worden overwogen:
    • 1) het installeren van gewapende kabelgoten en afgesloten ruimten of dozen voor inspectie- en eindpunten;
    • 2) het gebruik van alternatieve routes en/of transmissiemedia om de juiste mate van beveiliging te leveren;
    • 3) het gebruik van glasvezelkabels;
    • 4) het gebruik van elektromagnetische afscherming om de kabels te beschermen, in het bijzonder waar medische apparatuur een hoog stralingsniveau kan veroorzaken;
    • 5) het gebruik van detectievoorzieningen en fysieke inspectie om ongeautoriseerde apparatuur die op de bekabeling is aangesloten, op te sporen;
    • 6) bewaakte toegang tot patchpanelen en kabelruimten.

9.2.4   Onderhoud van apparatuur

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Apparatuur behoort op correcte wijze te worden onderhouden, om te waarborgen dat de apparatuur in goede staat verkeert en de geleverde informatiediensten beschikbaar blijven.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg de volgende richtlijnen voor het onderhouden van apparatuur;
  • a) onderhoud apparatuur volgens de door de leverancier aanbevolen voorschriften en servicetijdstippen;
  • b) laat reparatie en onderhoud van apparatuur alleen uitvoeren door bevoegd onderhoudspersoneel;
  • c) houd registraties bij van alle vermeende of daadwerkelijke storingen en van alle preventieve en corrigerende onderhoudswerkzaamheden;
  • d) voer passende beheersmaatregelen in bij gepland onderhoud, daarbij in aanmerking nemend of het onderhoud wordt verricht door personeel op locatie of door extern personeel; verwijder waar nodig gevoelig materiaal van de apparatuur.

9.2.5   Beveiliging van apparatuur buiten het terrein

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Apparatuur buiten de terreinen behoort te worden beveiligd waarbij rekening wordt gehouden met de diverse risico's van werken buiten het terrein van de organisatie.
Een organisatie die patiëntgegevens verwerkt behoort te zorgen voor toestemming voor elk gebruik buiten de instelling van medische apparaten die gegevens registreren en/of doorgeven, met inbegrip van apparatuur die, al of niet permanent, in gebruik is bij ambulante medewerkers en mogelijk tot hun vaste uitrusting behoort.
Aandachtspunten en aanbevelingen voor implementatie
Vraag voor het gebruik van informatieverwerkende apparatuur buiten het terrein van de organisatie te allen tijde toestemming van de directie, ongeacht wie de verantwoordelijke is.
Overweeg de volgende richtlijnen voor de bescherming van apparatuur buiten de locatie:
  • a) laat apparatuur en media buiten het terrein niet onbeheerd achter in openbare ruimten. Draagbare computers behoren tijdens het reizen als handbagage te worden vervoerd en behoren zo min mogelijk herkenbaar te zijn;
  • b) zorg dat de instructies van de fabrikant ter bescherming van de apparatuur te allen tijde worden opgevolgd, bijvoorbeeld bescherming tegen het blootstellen aan sterke elektromagnetische velden;
  • c) tref beheersmaatregelen voor thuiswerken aan de hand van een risicobeoordeling; pas waar van toepassing geschikte beheersmaatregelen toe, bijvoorbeeld afsluitbare archiefkasten, ‘clear desk’-beleid, toegangsbeveiliging voor computers en beveiligde communicatie met het kantoor (zie ook NEN-EN- ISO/IEC 18028-4 [22]);
  • d) sluit passende verzekeringen af om financiële dekking te hebben voor verlies of diefstal van apparatuur die zich buiten de locatie bevindt.
Houd bij het bepalen van de meest geschikte beheersmaatregelen rekening met het feit dat beveiligingsrisico's, bijvoorbeeld schade, diefstal en afluisteren, aanzienlijk kunnen variëren van locatie tot locatie.
Overige informatie
Apparatuur om informatie op te slaan of te verwerken omvat alle typen personal computers, tablet pc’s, organizers, mobiele telefoons, ‘smart cards’, ‘smart phones’, papieren en andere informatiedragers die worden meegenomen in verband met thuiswerk of van de normale werkplek naar elders worden meegenomen.
Voor meer informatie over andere aspecten van het beschermen van draagbare apparatuur, zie 11.7.1.
Denk hierbij ook aan apparatuur die wordt geplaatst bij instellingen waarmee wordt samengewerkt.

9.2.6   Veilig verwijderen of hergebruiken van apparatuur

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Wanneer apparatuur wordt verwijderd die opslagmedia bevat, behoort de organisatie te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur worden vernietigd of op veilige wijze worden overschreven.
Aandachtspunten en aanbevelingen voor implementatie
Pas voor het wissen van opslagmedia met gevoelige informatie, in plaats van standaardmethoden, fysieke vernietiging toe. Of vernietig, verwijderd of overschrijf de informatie met technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen. Zie ook data sanitation standards, bijvoorbeeld van het National Institute of Standard and Technology (NIST).
Overige informatie
Het kan nodig zijn om voor beschadigde opslagmedia die gevoelige gegevens bevatten een risicobeoordeling uit te voeren om te bepalen of deze worden vernietigd, gerepareerd of verwijderd.
Informatie kan in verkeerde handen vallen en worden misbruikt door onzorgvuldig verwijderen of hergebruik van apparatuur (zie ook 10.7.2).

9.2.7   Verwijdering van bedrijfseigendommen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg de volgende richtlijnen:
  • a) stel vast wie mag bepalen of medewerkers informatie en programmatuur van de locatie mogen meenemen;
  • b) stel tijdslimieten aan het uithuizig zijn van apparatuur en controleer bij inlevering op naleving daarvan;
  • c) registreer waar nodig en passend dat apparatuur de locatie verlaat en wanneer deze weer wordt teruggebracht.
Overige informatie
Steekproeven uitgevoerd voor het ontdekken van onbevoegde verwijdering van eigendommen kunnen ook worden uitgevoerd voor het ontdekken van niet-toegelaten opnameapparatuur, diefstalllen, enz. om te voorkomen dat ze op de locatie worden meegenomen. Voer dergelijke steekproeven uit in overeenstemming met de relevante wet- en regelgeving. Stel betrokkenen in kennis van de mogelijkheid dat steekproeven worden uitgevoerd en voer de steekproeven alleen uit in overeenstemming met de eisen van wet- en regelgeving.